Proceduri şi autorităţi în Noul Drept European al protecţiei datelor cu caracter personal (I)

Abstract

Abstract
Regulation (EU) No. 679/216 concerning the protection of individuals with regard to the
processing of personal character data and the free movement of such data brings some novelty
provisions. One of these has the role to designate the responsible with data protection – in cases
specifically regulated; its appointment is an obligation of the entity where the personal data are
processed. The importance of the new institution introduced by the Regulation can also be read in
light of the consequences of the omission to appoint such a person responsible until 28 May 2018 (in
cases where the law obliges the appointment), the sanction of the administrative fine being consistent.
The impact assessment procedure, in conjunction with the prior consultation, has the role of
highlighting the risks of processing, in relation to the rights and freedoms of the persons concerned.
Insofar as the activities requiring risk assessment will be rigorously identified (by the supervisor
authorities), and the complex mechanism of safeguards, measures, mitigation / annihilation remedies
will prove viable, the new impact assessment procedure can be converted into a useful and effective
tool for all individuals involved in the processing of personal data.
Keywords: personal character data, Regulation no. 679/2016, international cooperation, DPO

 

Preliminarii

Între materiile aflate în perpetuă evoluție, protecția datelor personale ocupă un loc privilegiat și sigur. „Privilegiat” – prin importanța cuvenită și acordată acestui domeniu, mai ales după 2000, grație naturii fundamentale a dreptului ocrotit (dreptul la protecția datelor cu caracter personal). „Sigur” – datorită unei dinamici aflate sub semnul progresului tehnologiilor moderne de comunicare – iar evoluția în ritm rapid a acestora este o certitudine.

Iată că, într-un traiect ascendent, din punctul de vedere al preocupărilor centrate pe protecția datelor personale, anul 2016 a marcat adoptarea și intrarea în vigoare a două acte normative, diferit înveșmântate, sub aspect formal. În tiparul unui regulament european[1] care se va aplica începând cu 25 mai 2018 (interval de timp necesar și rezonabil pentru ca statele membre să dispună măsurile preconizate), se găsesc regulile principale ale protecției, aplicabile cu titlu de normă-cadru. Necesitatea legiferării pe calea regulamentului este larg motivată și are ca prim fundament asigurarea unui nivel consecvent, ridicat și uniform de protecție a drepturilor și libertăților în spațiul Uniunii. Înlăturarea obstacolelor din calea circulației datelor are ca formulă optimă regulamentul. În timp ce reglementarea-cadru va înlocui aplicarea Directivei nr. 1995/46/CE începând cu mai 2018, prelucrarea datelor pe segmentul prevenirii infracțiunilor, urmăririi penale și executării sancțiunilor penale este cuprinsă în noua Directivă nr. 680/2016, în vigoare din mai 2016[2] . Aceasta din urmă înlocuiește Decizia-cadru 2008/977/JAI a Consiliului și se preocupă de aspectele specifice dreptului penal și dreptului procesual-penal. În ce măsură realitatea cotidiană a prelucrării datelor personale va concilia cele două reglementări – pe cale de regulament și pe cale de directivă – aceasta este o chestiune ce va fi dezlegată de viitorul aplicării acestora.

Dificultățile, deja conturate, ale interpretării-aplicării noilor prevederi ale dreptului european au determinat măsuri imediate. Între cele semnificative, menționăm preocuparea de elaborare a ghidurilor destinate aplicării unitare a noului Regulament. Grupul 29[3]  a finalizat trei astfel de ghiduri, care concretizează propunerile ajustate în urma consultării publice din perioada decembrie 2016-ianuarie 2017: Ghidul privind dreptul la portabilitatea datelor; Ghidul privind responsabilul pentru protecția datelor (DPO); Ghidul privind identificarea autorității de supraveghere lider a unui operator sau împuternicit[4] .

Ghidurile menționate sunt un prim pas în armonizarea interpretării prevederilor regulamentare. Există o serie de noțiuni care necesită lămurire – oricum practica aplicării va aduce variabile cu repercusiuni importante, în privința domeniului de aplicare, categoriilor de date supuse prelucrării fără consimțământul persoanei vizate, drepturilor și obligațiilor responsabililor și persoanelor fizice supuse operațiunilor de prelucrare.

Ceea ce trebuie semnalat, dintru început, este faptul că Regulamentul consacră dreptul la protecția datelor cu caracter personal ca drept fundamental (considerentul 1). Beneficiarele protecției sunt persoanele fizice, pentru care Regulamentul creează spațiul de libertate, securitate și justiție necesar în raport cu activitățile de prelucrare a datelor personale și cu libera circulație a acestor date. Directiva nr. 1995/46/CE a vizat armonizarea nivelului de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, fără să discute însă în termenii unui drept fundamental la protecția datelor cu caracter personal. Pasul înfăptuit de Regulament este semnificativ și tranșează dezbaterile doctrinei cu privire la (eventuala) existență a unui drept subiectiv la protecția datelor personale[5] .

Tot în rândul noutăților trebuie menționată instituirea unor obligații consolidate în sarcina responsabililor prelucrării (obligația de securitate, de exemplu), o mai riguroasă reglementare a consimțământului, suplimentarea garanțiilor oferite în cazul profilajului prin mijloace exclusiv automate, precum și noi prerogative la dispoziția persoanelor vizate de prelucrare (dreptul la portabilitatea datelor, droit à l’oubli)[6] .

Dintre procedurile și autoritățile prevăzute de Regulamentul adoptat în anul 2016, ne vom opri la: desemnarea responsabilului cu protecția datelor, evaluarea impactului/consultarea prealabilă, autoritățile (naționale) de supraveghere independente și Comitetul european pentru protecția datelor. Rolul autorităților nou instituite este major în ce privește menținerea nivelului de protecție a drepturilor și libertăților fundamentale în țările Uniunii, în condițiile în care protecția națională a acestora și, în mod special, ocrotirea vieții private, sunt fragile.

Directiva nr. 680/2016 reglementează, de asemenea, responsabilul pentru protecția datelor, evaluarea impactului și consultarea prealabilă. Întrucât reglementarea noii Directive este similară celei din noul Regulament, vom dezvolta problematica, așa cum se regăsește în Regulamentul nr. 679/2016. Ca element particular, reținem că dispozițiile Directivei sunt adresate exclusiv protecției persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date.

Analizele dedicate responsabilului cu protecția datelor și evaluării impactului fac obiectul primei părți a studiului (modalitățile de desemnare a responsabilului; cerințele pentru numirea acestuia; funcția și sarcinile încredințate de Regulament; operațiunile supuse evaluării impactului; procedura consultării prealabile a autorității de supraveghere). Cea de a doua parte detaliază particularitățile desemnării și statutul autorităților de supraveghere la nivelul statelor membre, respectiv structura și atribuțiile Comitetului european pentru protecția datelor.

I. Responsabilul cu protecția datelor (DPO)

„Data protection officer” este reglementat cu titlu de noutate în dreptul european al prelucrării datelor cu caracter personal. Regulamentul stabilește cazurile în care numirea responsabilului cu protecția datelor este obligatorie, cerințele legale cu privire la persoana responsabilului, funcția și sarcinile responsabilului cu protecția datelor (art. 37-39). Sugestiv, responsabilul este indicat ca fiind noul „gardian” al prelucrărilor de date cu caracter personal[7] .

 Desemnarea responsabilului pentru protecția datelor

Potrivit Regulamentului, numirea unui responsabil cu protecția datelor este obligatorie, în cazurile expres menționate:

a) atunci când prelucrarea este efectuată de o autoritate sau un organism public.

„Autoritate”, „organism public” sunt termeni a căror accepțiune este determinată în conformitate cu dreptul intern. Sunt exceptate instanțele care acționează în exercițiul funcției lor jurisdicționale.

b) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă. Împrejurarea că activitățile principale ale responsabilului prelucrării[8] /împuternicitului[9]  au în conținut operațiuni de prelucrare ce necesită monitorizare periodică și sistematică a persoanelor vizate pe scară largă, este de natură să atragă obligativitatea numirii unui responsabil cu protecția datelor. Demersul explicării vocabularului se circumscrie sintagmelor: „activități principale”, „monitorizare periodică și sistematică”, „persoane vizate pe scară largă”.

Activitățile principale se raportează la obiectul de activitate al responsabilului prelucrării. În sectorul privat, activitățile principale ale unui operator se referă la activitățile sale de bază și nu la prelucrarea datelor cu caracter personal drept activități auxiliare (considerentul 97). Precizarea Ghidului privind responsabilul pentru protecția datelor (DPO) este aceea că „activitățile principale” „nu ar trebui interpretate ca excluzând activitățile în care prelucrarea datelor reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator”. Exemplificarea vizează domeniul medical, mai exact activitatea desfășurată în unitățile spitalicești. În principal, spitalul oferă asistență medicală, însă eficiența și calitatea îngrijirilor medicale presupun și activitatea de prelucrare a datelor privind starea de sănătate a pacienților (prelucrarea dosarelor medicale). Pe cale de consecință, prelucrarea acestor date ar trebui să fie considerată a fi una dintre activitățile principale în orice spital, iar spitalele trebuie să desemneze un responsabil cu protecția datelor.

Monitorizarea periodică și sistematică are unele repere, în ce privește lămurirea terminologiei, în partea introductivă a Regulamentului (considerentul 24 face referire la monitorizarea comportamentului persoanelor fizice). Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca monitorizare a comportamentului persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta, de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile sale.

Rezultă fără dubiu că tehnicile care permit urmărirea conduitei utilizatorilor în mediul virtual sunt o formă de monitorizare a comportamentului persoanelor. Intră în această categorie, crearea de profiluri, publicitatea comportamentală, operarea unei rețele de telecomunicații; furnizarea de servicii de telecomunicații; email de direcționare repetată; activități de marketing bazate pe date; profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor); urmărirea locației prin aplicații mobile; publicitate comportamentală; monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis; dispozitive conectate, spre exemplu, contoare inteligente, mașini inteligente ș.a.[10] .

Credem că ipotezele arătate sunt relevante pentru spațiul virtual, dar nu epuizează sfera comportamentului care poate fi supus monitorizării. Altfel, explicațiile oferite de considerentul 24 al Regulamentului ar îngusta prea mult aria de aplicare a obligației de desemnare a responsabilului cu protecția datelor în raport cu primul caz în care funcționează obligația legală. Monitorizarea conduitei persoanelor fizice are forme variate de manifestare, inclusiv în lumea „fizică”, astfel că obligativitatea numirii acestuia funcționează în toate situațiile care întrunesc parametrii menționați la lit. a), art. 37 din Regulament.

Monitorizarea periodică și sistematică face apel la modul în care se manifestă în timp activitatea de supraveghere a celor vizați („periodic” – la anumite intervale de timp; „sistematic” – organizat, metodic, efectuat ca parte a unui plan).


[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (JO L119/1 din 4 mai 2016).

[2]  Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L119/89 din 4 mai 2016).

[3] Intrarea în vigoare a Directivei 1995/46/CE a prilejuit constituirea Grupului 29, organism european independent, cu caracter consultativ, format din reprezentanții autorităților naționale pentru protecția datelor din statele membre ale Uniunii Europene, reprezentanții autorităților create pentru instituțiile și organismele comunitare, precum și reprezentanți ai Comisiei Europene. Activitatea Grupului 29 se circumscrie emiterii de opinii asupra nivelului de protecție a datelor în statele membre și în cele nemembre; emiterii de avize consultative asupra proiectelor de modificare a Directivei, asupra tuturor proiectelor de măsuri adiționale sau specifice luate pentru apărarea drepturilor și libertăților persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, precum și asupra altor proiecte de măsuri la nivel european, cu incidență asupra acestor drepturi și libertăți; emiterii de avize asupra codurilor de conduită elaborate la nivel european; emiterii de recomandări, precum și alte documente asupra tuturor problemelor referitoare la protecția persoanelor cu privire la prelucrarea datelor cu caracter personal în cadrul Uniunii Europene, în vederea aplicării unitare a actelor normative naționale care transpun directivele în materie (http://www.dataprotection.ro/?page=workgroup&lang=ro).

[4] Ghidurile pot fi consultate pe pagina Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, www.dataprotection.ro. În variantă preliminară, pe aceeași pagină poate fi accesat Ghidul privind evaluarea impactului asupra protecției datelor.

[5] A se vedea O. Ungureanu, C. Munteanu, Dreptul la protecția datelor cu caracter personal, un drept autonom?, în Revista Română de Drept Privat nr. 1/2014, p. 166-179.

[6] Drepturile persoanelor vizate constituie centrul de greutate al întregii legislații referitoare la protecția datelor cu caracter personal. Avem în vedere atât legislația internă (de exemplu, Legea franceză din 6 februarie 1978, cunoscută sub denumirea „Legea informatică și libertăți”; Legea română nr. 677/2001 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date), cât și Directiva 1995/46/CE, care își va înceta aplicabilitatea începând cu 25 mai 2018. Pentru comentarii cu privire la drepturile persoanelor vizate în actele normative menționate, a se vedea, C. Féral-Schuhl, Cyberdroit. Le droit à l’épreuve de l’internet, Dalloz, Paris, 2006, p. 34-36; A. Lepage, Libertés et droit fondamentaux à l’épreuve de l’internet, Litec, Paris, 2002, p. 26-31; S. Șandru, Protecția datelor personale și viața privată, Editura Hamangiu, București, 2016, p. 208-218; D. Gărăiman, Dreptul și informatica, Ed. All Beck, București, 2003, p. 295-296.

[7] C. Timofte, Ofițerul de conformitate – noul „gardian” al prelucrărilor de date cu caracter personal, material disponibil pe pagina http://dataprivacyblog.tuca.ro, accesată la data de 17 mai 2017.

[8] „Responsabilul prelucrării” este „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern” (art. 4 pct. 7 din Regulament).

[9] „Persoana împuternicită de responsabilul prelucrării” este „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului” (art. 4 pct. 8 din Regulament).

[10] A se vedea, pentru exemplificări, Ghidul privind responsabilul pentru protecția datelor (DPO), p. 8, disponibil la adresa http://www.dataprotection.ro/servlet/ViewDocument?id=1384 (valabilă la data de 3 iunie 2017).

 

DOWNLOAD FULL ARTICLE

Proceduri și autorități în Noul Drept European al protecției datelor cu caracter personal (I) was last modified: iulie 24th, 2017 by Călina Jugastru

Numai utilizatorii autentificați pot scrie comentarii